Home Posty
Wideo Kampanie
Kapitan Hack
  • Home
  • Posty
  • Wideo
  • Kampanie
O kapitanie
Okiem eksperta
Kliknąć warto

SG prolimes

Wybrany post: Mimikatz – najpopularniejszy złodziej poświadczeń

22 grudnia 2018
hacking
hash
mimikatz
privileged account

Krótkie wprowadzenie do narzędzia


Mimikatz to narzędzie open-source służące do zbierania i wykorzystywania poświadczeń w systemach Windows. Od czasu jego wprowadzenia w 2011 roku przez autora Benjamina Delpy, liczba ataków w systemach Windows opartych na uwierzytelnianiu cały czas rośnie. Również ilość i różnorodność sposobów jakimi Mimikatz może być dostarczony do środowiska jest bardzo duża, dlatego staje się on coraz trudniejszy do wykrycia przez specjalistów ds. Bezpieczeństwa. Doprowadziło to do tego, że Mimikatz jest obecnie używany w praktycznie każdym cyberataku. Przykładem może być powszechnie znany ransomware Petya. Po dostaniu się do środowiska, wykorzystywał on przekompilowany kod Mimikatz’a do kradzieży poświadczeń i rozprzestrzeniania się po sieci organizacji. Obecnie narzędzie Mimikatz uważane jest za hakerski ,,szwajcarski scyzoryk”. Istnieją jednak sposoby ochrony przed tego typu kradzieżą i nadużywaniem poświadczeń. Należy zacząć od zrozumienia mechanizmów i podatności jakie wykorzystują atakujący oraz zrozumieć ryzyko i skalę zagrożenia.

Mimikatz jest przede wszystkim narzędziem typu „post-exploitation”, co oznacza, że jest wykorzystywany na już skompromitowanej przez atakującego maszynie. Osoba używa go więc, aby rozszerzyć swój dostęp w organizacji i ostatecznie uzyskać pełną kontrolę.


Jak wygląda kradzież danych w Mimikatz?


Kradzież danych uwierzytelniających można dokonać na wiele sposobów. Jednym z nich jest użycie polecenia sekurlsa::logonpasswords, które wyświetli informacje o haśle dla wszystkich aktualnie i ostatnio zalogowanych użytkowników i komputerów. Jeśli więc atakujący skompromituje jedną maszynę, może użyć Mimikatza do uzyskania poświadczeń innych osób logujących się ostatnio na tym komputerze. Pozwala to na przemieszczanie się po hostach w organizacji i szukanie możliwości na podniesienie uprawnień. Poniżej pokazany jest przykład pobrania skrótu NTLM haseł dla kont logowanych na hoście. Można wykorzystać go potem do podszycia się pod wybrane konto.

Zastosowanie Mimikatz’a do pozyskania hash’a konta sa_admin

Innym sprytnym sposobem kradzieży poświadczeń w Mimikatz jest na przykład użycie DCSync. Dzięki tej metodzie atakujący może podszywać się pod kontroler domeny i prosić Active Directory o replikację najbardziej poufnych informacji o hasłach.

Zdobycie poświadczeń jest pierwszym krokiem zaplanowanych ataków hakerskich. [Kampania Killchain]. W dalszych etapach Mimikatz pozwala używać skradzionych poświadczeń, w celu podszywania się pod inne osoby lub komputery. Narzędzie oferuje łatwe wykonywanie czynności pass-the-ticket i pass-the-hash. Korzystając z polecenia sekurlsa::pth można użyć ostatnio znaleziony skrót NTLM i uruchomić proces jako inny użytkownik.

Po przeprowadzonym udanym ataku i skompromitowaniu domeny Mimikatz oferuje atakującym kilka sposobów, aby nie stracili kontroli nad domeną, nawet po wykryciu. Golden Ticket czy Silver Ticket zapewniają skuteczne sposoby tworzenia fałszywych biletów Kerberos. Metody te są bardzo trudne do wykrycia i zapewniają napastnikom nieograniczony dostęp.


Jak się chronić przed Mimikatz?


Chociaż wszystkie poważne oprogramowania antywirusowe zawierają sygnatury Mimikatz, to kod źródłowy dostępny dla każdego, pozwala na przekompilowanie wersji Mimikatza, co powoduje uniknięcie wykrycia. Dlatego, obecność samego narzędzia w systemie jest prawie niemożliwa do zauważania i należy bardziej wyczekiwać, aż zostanie użyte. Mimikatz wymaga dostępu administratora i często uprawnień debugowania, w celu wykonania interakcji z procesem LSASS (Local Security Authority Subsystem Service). To właśnie ten proces zapewnia dostęp do pamięci, w której zapisane są dane uwierzytelniające kont logujących się od czasu ostatniego restartu systemu. Należy więc monitorować wszystkie modyfikacje i interakcje związane z procesem LSASS.exe. Po za tym, podejrzane uruchamianie procesów jako inny użytkownik oraz przeskoki na inne hosty w organizacji (tzw. Lateral Movement) mogą być objawem używania Mimikatza.


Musimy być czujni i stale rozwijać systemy zabezpieczeń


Autor Mimikatz’a, Benjamin Delpy, zapewnia że możliwości narzędzia będą cały czas rozszerzane. Dla przykładu w styczniu 2018 roku wprowadzono atak zwany DCShadow, który spowodował wiele zamieszania w środowisku cybersecurity. Polityka społeczności Mimikatz’a wymusza więc na systemach bezpieczeństwa ciągłe dostosowywanie się do nowych ataków.

Podziel się z innymi tym artykułem!

Najnowsze posty

  • Telecomy na Bliskim Wschodzie zaatakowane nowatorskimi backdoorami udającymi oprogramowanie zabezpieczające
    attack backdoor CiscoTalos HTTPSnoop PipeSnoop telecomm

    Telecomy na Bliskim Wschodzie zaatakowane nowatorskimi backdoorami udającymi oprogramowanie zabezpieczające

    Czytaj dalej >

  • Inteligentne toalety, czyli dane medyczne w niebezpieczeństwie
    IoT MedicalData security UrządzeniaSmart

    Inteligentne toalety, czyli dane medyczne w niebezpieczeństwie

    Czytaj dalej >

  • 345 milionów euro kary dla
    DPC GDPR mobile RODO tiktok

    345 milionów euro kary dla TikToka za nieprzestrzeganie RODO

    Czytaj dalej >

  • Odkryto nową technikę ataków typu DoS na iPhone'y – przy pomocy urządzenia Flipper Zero
    apple bluetooth flipperzero security

    Odkryto nową technikę ataków typu DoS na iPhone’y – przy pomocy urządzenia Flipper Zero

    Czytaj dalej >

  • Phishing na pracowników przedsiębiorstw za pomocą Microsoft Teams
    microsoft phishing storm-0324 teams TeamsPhisher

    Phishing na pracowników przedsiębiorstw za pomocą Microsoft Teams. Ataki grupy Storm-0324 i zalecenia w celu mitygacji zagrożenia

    Czytaj dalej >

  • „Atak na gorący kartofel” i masz pełną kontrolę nad systemem Windows oraz Active Directory.
    Active Directory hotPotato lpe okiem_eksperta Potato S4U S4UTomato

    „Atak na gorący kartofel” i masz pełną kontrolę nad systemem Windows oraz Active Directory. Symulacja ataku

    Czytaj dalej >

  • Microsoft załatał 59 luk bezpieczeństwa
    bug ms patchtuesday vulnerability

    W najnowszej aktualizacji Microsoft załatał 59 luk bezpieczeństwa

    Czytaj dalej >

Więcej postów ›

Popularne #hashtagi

Active Directory ai android apple attack backdoor best practices botnet bug bypass C2 cloud cve cyberbezpieczeństwo cybernews data DNS exploit google hack hacking hash infosec kapitanhack killchain linux LOLBin malware microsoft mimikatz mobile news okiem_eksperta password phishing phone powershell ransomware rce security trojan vulnerability web windows zero-day

O nas

  • Nota prawna
  • Reklama
  • Kontakt

Bądź na bieżąco

  • Facebook
  • Linkedin
  • Youtube
  • RSS

Przydatne linki

  • O kapitanie
  • Okiem eksperta
  • Kliknąć warto

Kapitan Hack

  • Home
  • Posty
  • Wideo
  • Kampanie

Wszelkie prawa zastrzeżone © 2023

Share

Blogger
Delicious
Digg
Email
Facebook
Facebook messenger
Google
Hacker News
Line
LinkedIn
Mix
Odnoklassniki
PDF
Pinterest
Pocket
Print
Reddit
Renren
Short link
SMS
Skype
Telegram
Tumblr
Twitter
VKontakte
wechat
Weibo
WhatsApp
Xing
Yahoo! Mail

Copy short link

Copy link
Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.Zgoda